Por qué Java es menos riesgoso para la seguridad ahora en Windows, Mac y Linux

Java, una vez un componente vital de la web, ha perdido popularidad en los últimos años. La mayoría de los navegadores modernos bloquean Java de forma predeterminada, y la mayoría de los usuarios domésticos ya no necesitan instalarlo..

Hace tiempo que escuchamos que Java es la pieza de software más insegura para computadoras de escritorio, especialmente Windows. Pero, ¿sigue siendo cierto? Vamos a cavar y descubrir.

Los problemas históricos con Java

La razón principal por la que Java se ha convertido en un objetivo tan popular para el ataque es lo extendido que está. Debido a que Java fue diseñado para una compatibilidad máxima, se ejecuta en una gran cantidad de dispositivos. Además de las computadoras, Java ofrece reproductores de Blu-ray, impresoras, sistemas de pago de estacionamiento, dispositivos de lotería y mucho más. Es lo contrario de la seguridad a través de la oscuridad: una plataforma importante proporciona la mejor recompensa por un ataque.

Por supuesto, nos preocupa Java en el escritorio. Y allí, la peor ofensa es que Java no se actualiza automáticamente. A diferencia de la mayoría de los otros programas modernos, Java simplemente le pide al usuario que instale actualizaciones cuando estén disponibles. Peor aún, de forma predeterminada, Java solo busca actualizaciones una vez a la semana o incluso una vez al mes. Eso es peligroso para una aplicación con tantas vulnerabilidades de seguridad.

Muchas personas ven el aviso de actualización y lo ignoran, lo que hace que ejecuten una versión desactualizada de Java. Y con las nuevas versiones que se ofrecen regularmente, incluso aquellos que instalan algunas actualizaciones pueden frustrarse e ignorar otras. En algunos casos, incluso cuando los usuarios instalan una nueva versión, también dejan instalada la copia anterior de Java. Esto amplía su vulnerabilidad al ataque..

Por supuesto, no podemos olvidar la larga saga de Java de incluir la terrible barra de herramientas Ask. Cada vez que instalaste o actualizaste Java, tenías que recordar desmarcar una casilla o incluiría ese pedazo de basura. Si bien no es una hazaña, esto dejó un mal sabor en la boca de los usuarios.

Java cumple hoy 22 años.

Deberíamos enviarle a Oracle un pastel con la barra de herramientas Ask.

- Tim Barrett (@timbarrett) 24 de enero de 2018

Java moderno

Entonces, eso era lo que estaba mal con Java en el pasado, pero ¿qué pasa con recientemente??

En octubre de 2017, Veracode descubrió [Ya no está disponible] que el 88 por ciento de las aplicaciones Java contienen al menos un componente vulnerable. A principios de 2016, Oracle anunció que incluso el instalador de Java era vulnerable. Si un atacante coloca un archivo DLL con un nombre específico en su carpeta de Descargas, desencadenará una infección cuando ejecute el instalador de Java. Y, en general, debido a la popularidad de Java, solo necesitaría visitar un sitio web comprometido que aprovechó su copia obsoleta de Java para infectarse.

Si bien esto significa que Java está lejos de ser seguro, también hay buenas noticias. A principios de 2016, Oracle anunció que planea desaprobar el complemento del navegador Java (que es la fuente de la mayoría de los problemas) en JDK 9, que está disponible ahora. Los navegadores modernos también han dejado atrás a Java. Chrome dejó de admitir Java a finales de 2015 y Firefox dejó de admitirlo a principios de 2017. El navegador Edge de Microsoft, incluido con Windows 10, no admite Java en absoluto.

Esto significa que si realmente necesita usar Java en un navegador, tendrá que seguir con Internet Explorer.

Las mayores vulnerabilidades

Dado que Java está perdiendo popularidad, lo que ha tomado su lugar como el software de escritorio más inseguro?

Los últimos datos de Flexera, del primer trimestre de 2017, revelan que el 7.8% de los programas en la PC promedio han llegado al final de su vida. Clasifica los 10 programas más expuestos, según la cuota de mercado multiplicada por el porcentaje de usuarios que no tienen parches:

1. iTunes 12.x
2. Java 8.x
3. VLC Media Player 2.x
4. Adobe Reader XI 11.x
5. Adobe Shockwave Player 12.x
6. Malwarebytes Anti-Malware 2.x
7. Kindle para PC 1.x
8. Adobe Acrobat Reader DC 15.x
9. uTorrent 3.x
10. iCloud para Windows 6.x

Esta lista puede sorprenderte. Si bien Java no es el programa más arriesgado, sigue siendo el segundo. Otros programas que normalmente no asociamos con riesgos de seguridad, como VLC y Malwarebytes, también ocupan un lugar. Esto ilustra la importancia de mantener todo su software actualizado, no solo los populares..

Podemos ver más al examinar el informe de seguridad del tercer trimestre de 2017 de Avast. Enumera los 10 programas más desactualizados en las PC de sus usuarios:

1. Java 6, 7 y 8
2. Adobe AIR
3. Adobe Shockwave
4. Reproductor de multimedia VLC
5. iTunes
6. Firefox
7. 7-Zip
8. WinRAR
9. Tiempo rapido
10. Adobe Flash Player

Cuando incluye las versiones anteriores, parece que Java todavía encabeza el software menos actualizado. Los complementos de Adobe también son grandes culpables, y vemos que iTunes y VLC también hicieron esta lista.

Por el contrario, de acuerdo con TechRadar, Chrome aparece en la cima de las aplicaciones actualizadas. Cuando se encuestó, el 88% de los usuarios que ejecutaban Chrome tenían instalada la última versión. Esto muestra cómo las actualizaciones automáticas silenciosas hacen una gran diferencia, en comparación con las molestas solicitudes de actualización utilizadas por los tiempos de ejecución de Java y Adobe.

No olvide las actualizaciones del sistema operativo también

Otro componente vital de la actualización para recordar son las actualizaciones del sistema operativo. Recuerde que los usuarios que tenían actualizaciones automáticas instaladas se salvaron del terrible ataque de ransomware a mediados de 2017 El ataque global de ransomware y cómo proteger sus datos El ataque global de ransomware y cómo proteger sus datos Un ataque cibernético masivo ha golpeado computadoras en todo el mundo. ¿Te ha afectado el altamente virulento ransomware autorreplicante? Si no, ¿cómo puede proteger sus datos sin pagar el rescate? . Incluso si mantiene actualizado el software como Java, su computadora aún está en riesgo si no instala las actualizaciones de Windows.

Windows 10 hace que estas actualizaciones automáticas sean fáciles Pros y contras de las actualizaciones forzadas en Windows 10 Los pros y contras de las actualizaciones forzadas en Windows 10 Las actualizaciones cambiarán en Windows 10. En este momento puede elegir. Windows 10, sin embargo, forzará actualizaciones sobre usted. Tiene ventajas, como seguridad mejorada, pero también puede salir mal. Lo que es más ..., pero aquellos en Windows 7 podrían haberlos deshabilitado. Y aquellos que todavía usan Windows XP casi cuatro años después de su fin de vida se están poniendo en mayor riesgo.

Qué peligroso es Java, realmente?

En conjunto, ¿podemos decir que Java es el mayor riesgo de seguridad para los equipos de escritorio? Realmente no. En el lado negativo, las personas continúan ejecutando versiones obsoletas de Java a pesar de que realmente no lo necesitan. Esto los abre a vulnerabilidades de seguridad. Sin embargo, dado que la mayoría de los navegadores ya no son compatibles con Java, no están abiertos a ataques como lo fueron alguna vez.

El eslabón débil en la seguridad de su computadora proviene del software más popular que no mantiene actualizado. Si tiene la versión más reciente de Java pero aún no ha desinstalado QuickTime para Windows no compatible, es un gran riesgo. Tener una versión desactualizada de Flash, Adobe Reader o iTunes también podría abrirlo para atacar.

estado de ánimo actual: negar una actualización de software durante 18 meses y ahora la herramienta para descargar está desactualizada

- polillas! ? ¡autista! ? (@ 13_moths) 12 de febrero de 2018

Podemos deducir de los datos anteriores que los programas sin actualizaciones automáticas suelen ser los menos seguros. Por ejemplo, iTunes pide constantemente a los usuarios que actualicen, lo cual es molesto. Esto lleva a las personas a ignorar las actualizaciones y dejar una versión insegura instalada.

¿Qué pasa con Mac y Linux??

Nos hemos centrado en Java para Windows arriba, pero vale la pena mencionar rápidamente cómo esto también afecta a los usuarios de Mac y Linux.

Sorprendentemente, aunque Apple no permite que los complementos se ejecuten de manera predeterminada en Safari, el navegador aún admite los complementos antiguos como Java y Silverlight. Si bien debe desinstalar Java en su Mac a menos que lo necesite por una razón específica, Java no ha causado tantos problemas a los usuarios de Mac como lo ha hecho en Windows. Últimamente, la mayoría de los agujeros de seguridad en macOS han sido gracias a los descuidos de Apple.

Necesito instalar NetBeans para algo. La versión para Mac se envía como un paquete de instalación (!), Que era una bandera roja. Pero luego quería que instalara Java ...

No No, no, no. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.

- Eat the Rich (@_nulldragon) 8 de febrero de 2018

Linux tampoco ha visto vulnerabilidades Java únicas. Si necesita un navegador que admita Java en Linux, puede probar la versión ESR (Extended Support Release) de Firefox. Firefox proporciona esta versión para entornos empresariales; proporciona las últimas actualizaciones de seguridad, pero espera más tiempo para implementar las actualizaciones de funciones. La versión actual, 52, es compatible con Java y otros complementos heredados estarán disponibles hasta el segundo trimestre de 2018..

Un futuro sin complementos

La buena noticia es que no necesita la mayoría de estos complementos potencialmente peligrosos y molestos. ¿Think Flash es el único complemento inseguro? Piense de nuevo Piense que Flash es el único complemento inseguro? Think Again Flash no es el único complemento de navegador que presenta un riesgo para su privacidad y seguridad en línea. Aquí hay tres complementos más que probablemente haya instalado en su navegador, pero que debe desinstalar hoy. instalado más. Muy pocos sitios web usan Java, y el principal programa para el que las personas mantuvieron Java instalado, Minecraft, incluye una versión segura de Java ahora Cómo instalar la versión completa de Minecraft en una PC con Linux Cómo instalar la versión completa de Minecraft en un Linux PC Minecraft es uno de los juegos más grandes del mundo y se ejecuta en prácticamente todas las plataformas. ¿Quieres que funcione en tu computadora Linux? Te mostraremos cómo. . Otros complementos tampoco son necesarios. Microsoft desaprobó Silverlight hace años, y sería difícil encontrar un sitio con contenido de Shockwave.

Flash es la única excepción. Die Flash Die: La historia en curso de las empresas tecnológicas que intentan matar a Flash Die Flash Die: La historia en curso de las empresas tecnológicas que intentan matar a Flash Flash ha estado en declive durante mucho tiempo, pero ¿cuándo va a morir? . La mayoría de los navegadores aún lo admiten debido a su popularidad, pero Adobe lo eliminará en 2020. Hasta entonces, asegúrese de actualizar Flash en su PC. Chrome lo hace automáticamente, por lo que es posible que ya ni siquiera lo tengas instalado (lo cual es genial).

En resumen: Java sigue siendo inseguro pero presenta menos riesgos gracias a que los navegadores lo desactivan. Debe desinstalar los programas que no necesita (incluidos los complementos antiguos), mantener actualizado el software en su computadora y aplicar las actualizaciones del sistema operativo. Si haces esto, estarás bien.